WFP : 600 000 foyers de Gaza touchés par une cyberattaque

Une cyberattaque frappe la base de données des bénéficiaires d'aide de Gaza

Le Programme alimentaire mondial (WFP) des Nations Unies, la plus grande organisation humanitaire au monde, a annoncé début juin 2026 avoir été victime d'une cyberattaque ciblant son application de self-registration (SRA) utilisée exclusivement en Palestine. L'intrusion, survenue le 14 mai 2026, a permis à des acteurs non identifiés d'accéder aux données personnelles de quelque 600 000 ménages palestiniens de Gaza inscrits aux programmes d'aide alimentaire et de transferts monétaires du WFP. Selon The New Humanitarian et BleepingComputer, qui ont couvert l'incident en détail, cette violation constitue potentiellement la plus importante fuite de données humanitaires jamais documentée à l'échelle mondiale.

L'application SRA — pour Self-Registration Application — est l'outil numérique par lequel les Palestiniens de Gaza s'inscrivent pour bénéficier des programmes d'assistance du WFP. Compte tenu du contexte humanitaire particulièrement sensible dans lequel opère l'organisation à Gaza depuis octobre 2023, cette base de données concentrait des informations d'une délicatesse extrême : les données d'identité des personnes les plus vulnérables de la région, comprenant des familles déplacées, des personnes âgées et des individus dépendant intégralement de l'aide internationale pour leur subsistance quotidienne.

Les données exposées comprennent les noms complets des bénéficiaires, leurs numéros d'identification nationaux, leurs numéros de téléphone mobile et leurs données de localisation. Cette combinaison est particulièrement sensible dans un contexte de conflit actif : elle permet théoriquement d'identifier et de localiser des individus spécifiques dans une zone de guerre, soulevant des risques directs pour la sécurité physique des personnes affectées. Plusieurs organisations de défense des droits numériques ont alerté sur les risques potentiels de reciblage que cette fuite pourrait engendrer, certains experts évoquant un « répertoire des vulnérables » tombé entre des mains inconnues.

La chronologie des événements révèle un délai significatif entre la détection de l'incident et la notification des victimes. L'attaque s'est produite le 14 mai 2026, mais c'est seulement le 31 mai — soit 17 jours plus tard — que le WFP a commencé à notifier les personnes affectées via des messages Telegram. L'organisation a justifié ce délai par la nécessité d'évaluer l'étendue exacte de la compromission et de préparer une réponse appropriée. Néanmoins, dans le contexte sécuritaire de Gaza, 17 jours représentent une fenêtre potentiellement longue pendant laquelle des données sensibles pouvaient être exploitées à l'insu des bénéficiaires.

Le WFP a indiqué avoir temporairement suspendu l'application SRA dans le cadre de son enquête sur l'incident. L'organisation a précisé qu'aucun groupe ou acteur n'avait jusqu'à présent revendiqué la responsabilité de l'attaque. Les vecteurs d'intrusion et les méthodes utilisées n'ont pas encore été rendus publics, le WFP soulignant que l'investigation forensique, conduite avec l'appui de spécialistes externes en réponse à incident, est toujours en cours. Des équipes de cybersécurité mandatées examinent l'intégralité de l'infrastructure affectée pour déterminer l'étendue précise de la compromission et identifier les lacunes exploitées.

L'enquête examine plusieurs hypothèses quant aux motivations des attaquants. Selon The Record Media, publication de Recorded Future News, des groupes hacktivistes aux affiliations diverses sont actifs dans la région, mais des acteurs étatiques pourraient également être intéressés par des données permettant de cartographier la population civile de Gaza. La nature géopolitique du conflit rend l'attribution particulièrement délicate, d'autant que plusieurs types d'acteurs pourraient avoir des motivations différentes pour accéder à ces informations : revente sur des marchés souterrains, reciblage de populations, renseignement sur les mouvements de personnes.

Pour le WFP, l'incident intervient dans un contexte opérationnel déjà extrêmement difficile. À Gaza, l'organisation gère quotidiennement l'acheminement et la distribution d'aide alimentaire à des millions de personnes dans un environnement de conflit armé, de restrictions de mouvements et d'infrastructure dégradée. La numérisation de l'inscription des bénéficiaires via l'application SRA visait précisément à améliorer l'efficacité et la traçabilité de l'aide, mais a simultanément créé une base de données centralisée constituant une cible de haute valeur. C'est le paradoxe de la transformation numérique dans les contextes humanitaires : l'efficacité opérationnelle génère de nouveaux risques de sécurité.

L'impact sur les opérations du WFP à Gaza reste à évaluer pleinement. La suspension de l'application SRA pourrait temporairement perturber les nouvelles inscriptions au programme d'assistance, au moment précis où la demande d'aide humanitaire reste à un niveau critique. L'organisation a indiqué travailler à des solutions alternatives pour maintenir la continuité de ses opérations pendant la durée de l'investigation, sans préciser quelles mesures concrètes avaient été mises en place pour les nouvelles demandes d'inscription.

Les enjeux spécifiques des cyberattaques contre les organisations humanitaires

La cyberattaque contre le WFP illustre une réalité préoccupante : les organisations humanitaires internationales sont devenues des cibles de premier plan pour des acteurs malveillants sophistiqués. Le précédent le plus notable reste la violation subie par le Comité international de la Croix-Rouge (CICR) en janvier 2022, qui avait exposé les données de 515 000 personnes vulnérables, dont des détenus, des migrants et des personnes disparues. Cet incident avait conduit le CICR à appeler publiquement les États à établir des normes protégeant spécifiquement les données humanitaires. Quatre ans plus tard, l'incident WFP montre que la situation n'a pas fondamentalement évolué.

Les organisations humanitaires présentent des caractéristiques qui les rendent particulièrement vulnérables. Elles opèrent souvent avec des budgets de cybersécurité réduits comparativement à leurs homologues du secteur privé, tout en traitant des données hautement sensibles sur des populations vulnérables dans des zones de crise. Leurs systèmes doivent être accessibles à des équipes réparties mondialement, souvent depuis des connexions internet peu sécurisées dans des contextes opérationnels dégradés. Et leur mission humanitaire crée une asymétrie difficile à gérer : stopper des systèmes pour des raisons de sécurité peut signifier interrompre des distributions d'aide vitales pour des populations déjà en situation d'urgence.

Sur le plan juridique, les données des bénéficiaires humanitaires se trouvent dans une zone grise réglementaire. Le RGPD européen s'applique aux entités établies dans l'UE ou traitant des données de résidents européens, mais les organisations de droit international comme le WFP bénéficient d'une immunité partielle rendant l'application des réglementations nationales incertaine. Des cadres spécifiques pour la protection des données humanitaires sont en cours d'élaboration au sein du système onusien, mais leur adoption reste lente face à l'évolution rapide des menaces. Cet incident devrait accélérer ces discussions et potentiellement conduire à l'adoption de standards minimaux contraignants.

Du point de vue technique, la protection des bases de données de bénéficiaires dans des contextes humanitaires complexes nécessite une approche de sécurité adaptée aux contraintes opérationnelles. La pseudonymisation des données d'identification, le chiffrement de bout en bout des bases de données sensibles, des architectures distribuées réduisant la centralisation des données critiques, et des approches de type « privacy by design » minimisant la collecte constituent des pistes de mitigation que les organisations humanitaires doivent désormais considérer comme prioritaires, intégrées dès la conception de leurs outils numériques et non pas ajoutées après coup.

Ce qu'il faut retenir

• Les données personnelles de 600 000 foyers palestiniens (noms, numéros d'identité, téléphones, localisation) ont été exposées lors d'une cyberattaque contre l'application SRA du WFP le 14 mai 2026.
• Le délai de 17 jours entre l'attaque et la notification des victimes soulève des questions critiques sur les procédures de réponse aux incidents des grandes organisations humanitaires.
• Dans des zones de conflit actif, la compromission de données d'identification et de localisation de populations civiles vulnérables peut engendrer des risques directs pour leur sécurité physique, allant bien au-delà du préjudice d'une violation de données classique.